網(wǎng)絡(luò)安全管理教材(41p)課件

1、第8章 網(wǎng)絡(luò)安全第8章 網(wǎng)絡(luò)安全學(xué)習(xí)目標(biāo)了解網(wǎng)絡(luò)安全基本知識掌握計(jì)算機(jī)病毒的基本知識理解計(jì)算機(jī)病毒的原理和木馬原理掌握防火墻技術(shù)掌握數(shù)字加密和數(shù)字簽名原理8.1 網(wǎng)絡(luò)安全概述 隨著互聯(lián)網(wǎng)正在以令人驚訝的速度改變著我們的生活，從政府到商業(yè)再到個(gè)人，互聯(lián)網(wǎng)的應(yīng)用無處不在，如政府部門信息系統(tǒng)、電子商務(wù)、網(wǎng)絡(luò)炒股、網(wǎng)上銀行、網(wǎng)上購物等。 Internet所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時(shí)，也帶來了許多信息安全隱患，如何保護(hù)政府、企業(yè)和個(gè)人的信息不受他人的入侵，更好地增加互聯(lián)網(wǎng)的安全性，是一個(gè)亟待解決的重大問題。8.1.1.網(wǎng)絡(luò)安全隱患 現(xiàn)實(shí)的互聯(lián)網(wǎng)存在著許多安全隱患可以供人利用，隱患

2、主要有以下幾種:(1)黑客入侵(2)計(jì)算機(jī)病毒的攻擊 (3)陷阱和特洛伊木馬 (4)來自內(nèi)部人員的攻擊 (5)修改或刪除關(guān)鍵信息 (6) 拒絕服務(wù) (7)人為地破壞網(wǎng)絡(luò)設(shè)施，造成網(wǎng)絡(luò)癱瘓8.1.2 網(wǎng)絡(luò)攻擊 網(wǎng)絡(luò)攻擊是建立在網(wǎng)絡(luò)存在漏洞基礎(chǔ)之上的,找到漏洞后發(fā)起攻擊。主動(dòng)攻擊：攻擊者試圖突破網(wǎng)絡(luò)的安全防線。主要應(yīng)付手段有：防火墻、入侵檢測系統(tǒng)。 被動(dòng)攻擊：攻擊者簡單地監(jiān)視所有信息流以獲得某些秘密。主要應(yīng)付手段有：數(shù)據(jù)加密等。 8.1.3 網(wǎng)絡(luò)基本安全技術(shù) 針對目前網(wǎng)絡(luò)不容樂觀的安全形勢，實(shí)現(xiàn)網(wǎng)絡(luò)安全的基本措施主要有防火墻、數(shù)字加密、數(shù)字簽名、身份認(rèn)證等. 1.防火墻： 防火墻是設(shè)置在被保護(hù)的內(nèi)

3、部網(wǎng)絡(luò)和有危險(xiǎn)性的外部網(wǎng)絡(luò)之間的一道屏障，系統(tǒng)管理員按照一定的規(guī)則控制數(shù)據(jù)包在內(nèi)外網(wǎng)之間的進(jìn)出。2.數(shù)字加密： 數(shù)據(jù)加密是通過對傳輸?shù)男畔⑦M(jìn)行一定的重新組合，而使只有通信雙方才能識別原有信息的一種手段。3.數(shù)字簽名： 數(shù)字簽名可以被用來證明數(shù)據(jù)的真實(shí)發(fā)送者，而且，當(dāng)數(shù)字簽名用在存儲(chǔ)的數(shù)據(jù)或程序時(shí)，可以用來驗(yàn)證其完整性。4.身份認(rèn)證： 用多種方式來驗(yàn)證用戶的合法性，如密碼技術(shù)、指紋識別、智能IC卡、網(wǎng)銀U盾等。8.2 計(jì)算機(jī)病毒與木馬8.2.1 計(jì)算機(jī)病毒的基本知識 計(jì)算機(jī)病毒指編寫或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。

4、它能夠通過某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)（或程序）里 , 當(dāng)達(dá)到某種條件時(shí)即被激活，具有對計(jì)算機(jī)資源進(jìn)行破壞的作用。計(jì)算機(jī)病毒具有以下幾個(gè)特點(diǎn)： （1）寄生性（2）傳染性 （3）隱蔽性 （4）潛伏性 （5）破壞性 計(jì)算機(jī)病毒的分類： 綜合病毒本身的技術(shù)特點(diǎn)，攻擊目標(biāo)，傳播方式等各個(gè)方面，一般情況下，我們將病毒大致分為以下幾類： 1.傳統(tǒng)病毒 2.宏病毒（Macro） 3.惡意腳本（Script） 4.木馬（Trojan）程序 5.黑客(Hack) 程序 6.蠕蟲（Worm）程序 7.破壞性（Harm）程序8.2.2 計(jì)算機(jī)病毒工作原理1程序型病毒工作原理 程序型病毒通過網(wǎng)絡(luò)、U盤和光盤等為載體傳

5、播，主要感染.exe 和.dll等可執(zhí)行文件和動(dòng)態(tài)連接庫文件，當(dāng)染毒文件被運(yùn)行，病毒就進(jìn)入內(nèi)存，并獲取了內(nèi)存控制權(quán)，開始感染所有之后運(yùn)行的文件。 比如運(yùn)行了WORD.exe ，則該文件被感染，病毒把自己復(fù)制一份，加在WORD.EXE文件的后面，會(huì)使該文件長度增加1到幾個(gè)K。隨著時(shí)間的推移病毒會(huì)繼續(xù)感染下面運(yùn)行的程序，周而復(fù)始，時(shí)間越長，染毒文件越多。到了一定時(shí)間，病毒開始發(fā)作（根據(jù)病毒作者定義的條件，有的是時(shí)間，比如CIH，有的是感染規(guī)模等等）執(zhí)行病毒作者定義的操作，比如無限復(fù)制，占用系統(tǒng)資源、刪除文件、將自己向網(wǎng)絡(luò)傳播甚至格式化磁盤等等。 2引導(dǎo)型病毒工作原理 引導(dǎo)型病毒感染的不是文件，而是

6、磁盤引導(dǎo)區(qū)，他把自己寫入引導(dǎo)區(qū)，這樣，只要磁盤被讀寫，病毒就首先被讀取入內(nèi)存。 當(dāng)計(jì)算機(jī)上啟動(dòng)時(shí)病毒會(huì)隨計(jì)算機(jī)系統(tǒng)一起啟動(dòng)（這點(diǎn)和QQ開機(jī)啟動(dòng)原理差不多），接下來，病毒獲得系統(tǒng)控制權(quán)，改寫操作系統(tǒng)文件，隱藏自己，讓后啟動(dòng)的殺毒軟件難以找到自己，這樣引導(dǎo)型病毒就可以根據(jù)自己的病毒特性進(jìn)行相應(yīng)操作。8.2.3 木馬原理 木馬的全稱是特洛伊木馬，是一種惡意程序，它們悄悄地在宿主機(jī)器上運(yùn)行，就在用戶毫無察覺的情況下，讓攻擊者獲得了遠(yuǎn)程訪問和控制用戶計(jì)算機(jī)的權(quán)限。 特洛伊木馬的安裝和操作都是在隱蔽之中完成，用戶沒有察覺。 木馬攻擊原理8.2.4 常見AUTORUN.INF文件 AUTORUN.INF這個(gè)

7、文件本身并不是一個(gè)病毒文件，它可以實(shí)現(xiàn)雙擊盤符自動(dòng)運(yùn)行某個(gè)程序的功能，但是很多病毒利用了這個(gè)文件的特點(diǎn)，自動(dòng)運(yùn)行一些病毒程序。 8.2.5 殺毒軟件工作原理 病毒是用某種語言寫出來的一段代碼，每種病毒都會(huì)具有一些獨(dú)一無二的特征，叫做病毒特征碼。 當(dāng)病毒通過網(wǎng)絡(luò)傳播開后，軟件公司得到病毒樣本，開始分析樣本，找到病毒特征碼，然后更新其病毒庫，令其在殺毒時(shí)也查找這種病毒碼，然后通知用戶，請他們升級其殺毒軟件。然后用戶升級，再殺毒，結(jié)果，該病毒被殺死，同時(shí)新的病毒被發(fā)現(xiàn)，周而復(fù)始。8.3 防火墻8.3.1防火墻的基本概念 防火墻是網(wǎng)絡(luò)安全的屏障，可以實(shí)現(xiàn)內(nèi)部可信任網(wǎng)絡(luò)與外部不可信任網(wǎng)絡(luò)（互聯(lián)網(wǎng)）之間或

8、內(nèi)部網(wǎng)絡(luò)不同區(qū)域之間的隔離與訪問控制，阻止外部網(wǎng)絡(luò)中的惡意程序訪問內(nèi)部網(wǎng)絡(luò)資源，防止更改、復(fù)制、損壞用戶重要信息。防火墻的主要目的就是通過檢查入、出一個(gè)網(wǎng)絡(luò)的所有連接，防止某個(gè)需要保護(hù)的網(wǎng)絡(luò)遭受外部網(wǎng)絡(luò)的干擾和破壞。邏輯上，防火墻是一個(gè)分離器、限制器、分析器，有效地檢查內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的任何活動(dòng)。 物理上，防火墻集成在網(wǎng)絡(luò)特殊位置的一組硬件設(shè)備-路由器、三層交換機(jī)、PC機(jī)上?？梢允且粋€(gè)獨(dú)立硬件系統(tǒng)，也可以是一個(gè)軟件系統(tǒng)。 8.3.2 防火墻的分類 按照工作的網(wǎng)絡(luò)層次和作用對象來分為四種類型：包過濾防火墻應(yīng)用程序代理防火墻復(fù)合型防火墻個(gè)人防火墻1.包過濾防火包過濾防火墻又被稱為訪問控制表A

9、CL（Access Control List）,它根據(jù)預(yù)先靜態(tài)定義好的規(guī)則審查內(nèi)、外網(wǎng)之間通信的數(shù)據(jù)包是否與自己定義的規(guī)則（分組包頭源地址、目的地址端口號、協(xié)議類型等）相一致，從而決定是否轉(zhuǎn)發(fā)數(shù)據(jù)包。包過濾防火墻工作于網(wǎng)絡(luò)層和傳輸層，把滿足規(guī)則的數(shù)據(jù)包轉(zhuǎn)發(fā)到目的端口，不滿足的數(shù)據(jù)包則被丟棄，許多個(gè)規(guī)則是可以復(fù)合定義的。包過濾防火墻的優(yōu)點(diǎn)是： 不用改動(dòng)用戶主機(jī)上的客戶程序；可以與現(xiàn)有設(shè)備集成，也可以通過獨(dú)立的包過濾軟件實(shí)現(xiàn)；成本低廉、速度快、效率高，很大程度滿足企業(yè)的需要。包過濾防火墻的缺點(diǎn)是： 工作在網(wǎng)絡(luò)層，不能檢測對于高層的攻擊；如果使用很復(fù)雜的規(guī)則，會(huì)大大減低工作效率；需要手工建立安全規(guī)則

10、，要求管理人員要清楚了解網(wǎng)絡(luò)需求；包過濾主要依據(jù)IP包頭中的各種信息，但I(xiàn)P包頭信息可以被偽造，這樣就可以輕易繞過包過濾防火墻。2.應(yīng)用程序代理防火墻 應(yīng)用程序代理防火墻又叫應(yīng)用網(wǎng)關(guān)防火墻，指在網(wǎng)關(guān)上執(zhí)行一些特定的應(yīng)用程序和服務(wù)器程序?qū)崿F(xiàn)協(xié)議的過濾和轉(zhuǎn)發(fā)功能。 應(yīng)用程序代理防火墻工作于應(yīng)用層，掌握著應(yīng)用系統(tǒng)中可作為安全決策的全部信息。特點(diǎn)： 完全阻隔了網(wǎng)絡(luò)信息流，當(dāng)一個(gè)遠(yuǎn)程用戶希望和網(wǎng)內(nèi)用戶通信時(shí)，應(yīng)用網(wǎng)關(guān)會(huì)阻隔通信信息，然后對這個(gè)通信數(shù)據(jù)進(jìn)行檢查，符合要求后，應(yīng)用網(wǎng)關(guān)會(huì)作為一個(gè)橋梁，轉(zhuǎn)發(fā)通信數(shù)據(jù)。3.復(fù)合型防火墻 由于對更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成

11、復(fù)合型防火墻產(chǎn)品 。通常是以下兩種方案： 屏蔽主機(jī)防火墻體系結(jié)構(gòu) 屏蔽子網(wǎng)防火墻體系結(jié)構(gòu) 4.個(gè)人防火墻 目前網(wǎng)絡(luò)上有許多個(gè)人防火墻軟件，很多都集成在殺毒軟件當(dāng)中，它是應(yīng)用程序級的，在某一臺計(jì)算機(jī)上運(yùn)行，保護(hù)其不受外部網(wǎng)絡(luò)的攻擊。一般的個(gè)人防火墻都具有“學(xué)習(xí)”機(jī)制 個(gè)人防火墻8.3.3 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù) 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的作用原理就是通過替換一個(gè)數(shù)據(jù)包的源地址和目的地址，來保證這個(gè)數(shù)據(jù)包能被正確識別。 當(dāng)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)通過路由器向外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包時(shí)，私有地址被轉(zhuǎn)換成合法的IP地址（全局地址）在Internet上使用，最少只需一個(gè)合法IP，就可以實(shí)現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計(jì)算機(jī)與Inter

12、net的通信。 一般NAT技術(shù)都在路由器上實(shí)現(xiàn)，所以在互聯(lián)網(wǎng)的通信中，路由器的路由表里是不可能出現(xiàn)私有地址的。NAT技術(shù)的缺點(diǎn)是學(xué)要轉(zhuǎn)換每個(gè)通信數(shù)據(jù)包包頭的IP地址而增加網(wǎng)絡(luò)延遲，而且當(dāng)內(nèi)部網(wǎng)絡(luò)用戶過多時(shí)，NAT的服務(wù)質(zhì)量就不能保證了。8.4 數(shù)字加密與數(shù)字簽名8.4.1 數(shù)字加密 數(shù)據(jù)加密就是指將原始的數(shù)據(jù)通過一定的加密方式，加密成非授權(quán)人難以理解的數(shù)據(jù)，授權(quán)人在接受加密數(shù)據(jù)后，利用自己知道的解密方式把數(shù)據(jù)還原成原始數(shù)據(jù)。數(shù)據(jù)加密常用術(shù)語： 明文：沒有加密的原始數(shù)據(jù)。 密文：加密過后的數(shù)據(jù)。 加密：把明文轉(zhuǎn)換成密文的過程。 解密：把密文轉(zhuǎn)換成明文的過程。 算法：加密或解密過程中使用的一系列運(yùn)

13、算方式。 密鑰：用于加密或解密的一個(gè)字符串加密、解密過程經(jīng)典數(shù)字加密技術(shù) (1)替換加密 用某個(gè)字母替換另一個(gè)字母，替換的方式事先確定，比如替換方式是字母按順序推后5位，hello在網(wǎng)絡(luò)傳輸時(shí)就用mjqqt。這種加密方式比較簡單，密鑰就是5，接受者只要按照每個(gè)字符的ASC碼值減去5再做模26的求余運(yùn)算就可以得到原始數(shù)據(jù)了。(2)換位加密 按照一定的規(guī)律重新排列傳輸數(shù)據(jù)。比如說我預(yù)先設(shè)定好換位的順序是4213，明文bear在網(wǎng)絡(luò)傳輸時(shí)就是reba。這種加密方式也較簡單，曾經(jīng)大量使用，但是由于計(jì)算機(jī)運(yùn)算速率發(fā)展很快，可以利用窮舉法破譯。常用加密技術(shù) (1)秘密密鑰技術(shù) 秘密密鑰技術(shù)也叫對稱密鑰加密

14、技術(shù)。在這種技術(shù)中，將算法內(nèi)部的轉(zhuǎn)換過程設(shè)計(jì)的非常復(fù)雜，而且有很長的密鑰，密文的破解非常困難，即使破解，也會(huì)因?yàn)闆]有密鑰而無法解讀，這種技術(shù)最大的特點(diǎn)就是吧算法和密鑰分開來處理，密鑰最為關(guān)鍵，而且在加密和解密過程中，使用的密鑰相同。秘密密鑰技術(shù) 最著名的秘密密鑰加密算法是數(shù)據(jù)加密標(biāo)準(zhǔn)DES（data encryption standard）。該算法的基本思想是將明文分割成64位的數(shù)據(jù)塊，并在一個(gè)64位的密鑰控制下，對每個(gè)64位明文塊加密，最后形成整個(gè)加密密文。(2)公開密鑰加密技術(shù) 公開密鑰加密技術(shù)也叫非對稱密鑰加密技術(shù)。公開密鑰加密在加密和解密過程中使用二個(gè)不同的密鑰，這二個(gè)密鑰在數(shù)學(xué)上是相

15、關(guān)的，他們成對出現(xiàn)，但互相之間不能破解。這樣接收者可以公開自己的加密密鑰，發(fā)送者可以利用他來進(jìn)行加密，而只有擁有解密密鑰的授權(quán)接收者，才能把數(shù)據(jù)解密成原文。公開密鑰加密技術(shù) 最著名的公開密鑰加密算法是RSA（三位發(fā)明者名字首字母組合）。該算法的基本思想是在生成的一對密鑰中，任何一個(gè)都可以作為加密或解密密鑰，另一個(gè)相反，一個(gè)密鑰用于公開供發(fā)送者加密使用。另一個(gè)密鑰嚴(yán)格被接收者保密，當(dāng)接收者收到密文時(shí)，用于解密加密數(shù)據(jù)。8.4.2 數(shù)字簽名數(shù)字加密主要用在防止信息在傳輸過程中被人截取利用，而怎樣確定發(fā)送信息人的身份，就學(xué)要用數(shù)字簽名來解決。數(shù)字簽名指在計(jì)算機(jī)網(wǎng)絡(luò)中，用電子簽名來代替紙質(zhì)文件或協(xié)議的

16、簽名，以保證信息的完整性、真實(shí)性和發(fā)送者的不可否認(rèn)性。目前使用較多的還是利用報(bào)文摘要和公開密鑰加密技術(shù)相結(jié)合的方式進(jìn)行數(shù)字簽名。1.報(bào)文摘要 消息摘要的設(shè)計(jì)思想是把一個(gè)無論多大的明文數(shù)據(jù)，轉(zhuǎn)變成一個(gè)固定長度的比特串，在簽名時(shí)，只要對這個(gè)消息摘要簽名就行了，不用對整個(gè)明文數(shù)據(jù)進(jìn)行簽名。 明文轉(zhuǎn)變?yōu)楣潭ㄩL度比特串的方式是通過單向散列函數(shù)。單向散列函數(shù)具有以下特性： (1)處理任意長度的數(shù)據(jù)，生成固定大小的比特串 (2)生成的比特串是不可預(yù)見的，看起來與原始明文沒有任何聯(lián)系，原始明文有任何變化，新的比特串就會(huì)與原來的不同。 (3)生成的比特串具有不可逆性，不法通過它還原成原始明文。目前使用最多的報(bào)文

17、摘要算法是和 2數(shù)字簽名的過程數(shù)據(jù)加密和數(shù)字簽名的區(qū)別1.數(shù)字加密的發(fā)送者使用接收者的公鑰加密，接收者使用自己的私鑰解密 2.數(shù)字簽名的發(fā)送者使用自己的私鑰加密，接收者使用發(fā)送者的公鑰解密。本章小結(jié)本章主要闡述了計(jì)算機(jī)病毒概念、特點(diǎn)和類型，同時(shí)簡要介紹防火墻技術(shù)、數(shù)字加密和數(shù)字簽名等網(wǎng)絡(luò)安全防護(hù)知識。通過對本章內(nèi)容的學(xué)習(xí)和理解，要求讀者能掌握計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)知識，做好對常見計(jì)算機(jī)病毒防范工作。 Thank you激勵(lì)學(xué)生學(xué)習(xí)的名言格言220、每一個(gè)成功者都有一個(gè)開始。勇于開始，才能找到成功的路。221、世界會(huì)向那些有目標(biāo)和遠(yuǎn)見的人讓路（馮兩努香港著名推銷商）222、絆腳石乃是進(jìn)身之階。223

18、、銷售世界上第一號的產(chǎn)品不是汽車，而是自己。在你成功地把自己推銷給別人之前，你必須百分之百的把自己推銷給自己。224、即使爬到最高的山上，一次也只能腳踏實(shí)地地邁一步。225、積極思考造成積極人生，消極思考造成消極人生。226、人之所以有一張嘴，而有兩只耳朵，原因是聽的要比說的多一倍。227、別想一下造出大海，必須先由小河川開始。228、有事者，事竟成；破釜沉舟，百二秦關(guān)終歸楚；苦心人，天不負(fù)；臥薪嘗膽，三千越甲可吞吳。229、以誠感人者，人亦誠而應(yīng)。230、積極的人在每一次憂患中都看到一個(gè)機(jī)會(huì)，而消極的人則在每個(gè)機(jī)會(huì)都看到某種憂患。231、出門走好路，出口說好話，出手做好事。232、旁觀者的姓名永遠(yuǎn)爬不到比賽的計(jì)分板上。233、怠惰是貧窮的制造廠。234、莫找借口失敗，只找理由成功。（不為失敗找理由，要為成功找方法）235、如果我們想要更多的玫瑰花，就必須種植更多的玫瑰樹。236、偉人之所以偉大，是因?yàn)樗c別人共處逆境時(shí)，別人失去了信心，他卻下決心實(shí)現(xiàn)自己的目標(biāo)。237、世上沒有絕望的處境，只有對處境絕望的人。238、回避現(xiàn)實(shí)的人，未來將更不理想。239、當(dāng)你感到悲哀痛苦時(shí)，最好是去學(xué)些什么東西。學(xué)習(xí)會(huì)使你永遠(yuǎn)立于不敗之地。240、偉人所達(dá)